Kā bloķēt USB atmiņas ierīces Linux serveros


Lai aizsargātu sensitīvu datu iegūšanu no serveriem lietotājiem, kuriem ir fiziska piekļuve mašīnām, ieteicams Linux kodolā atspējot visu USB atmiņas atbalstu.

Lai atspējotu USB atmiņas atbalstu, vispirms ir jānosaka, vai atmiņas draiveris ir ielādēts Linux kodolā, un jānorāda tā draivera (moduļa) nosaukums, kurš ir atbildīgs par atmiņas draiveri.

Palaidiet komandu lsmod, lai uzskaitītu visus ielādētos kodola draiverus un filtrētu izvadi, izmantojot komandu grep, ar meklēšanas virkni “usb_storage”.

# lsmod | grep usb_storage

No komandas lsmod mēs varam redzēt, ka apakšvietas moduli izmanto UAS modulis. Pēc tam izlādējiet abus USB atmiņas moduļus no kodola un pārbaudiet, vai noņemšana ir veiksmīgi pabeigta, izsniedzot tālāk norādītās komandas.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

Pēc tam uzskaitiet pašreizējā izpildlaika kodola USB atmiņas moduļu direktorija saturu, izsniedzot zemāk esošo komandu, un norādiet USB atmiņas draivera nosaukumu. Parasti šī moduļa nosaukums būtu usb-storage.ko.xz vai usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Lai bloķētu USB atmiņas moduļa veidlapu ielādi kodolā, nomainiet direktoriju uz kodola usb atmiņas moduļu ceļu un pārdēvējiet moduli usb-storage.ko.xz uz usb-storage.ko.xz.blacklist, izsniedzot tālāk norādītās komandas.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Debian balstītajos Linux izplatījumos izdodiet tālāk norādītās komandas, lai bloķētu usb-storage moduļa ielādi Linux kodolā.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Tagad, kad pievienojat USB atmiņas ierīci, kodols neizdosies ielādēt atmiņas ierīces draivera ievadkodolu. Lai atjaunotu izmaiņas, vienkārši pārdēvējiet USB moduļa melnajā sarakstā atpakaļ uz veco nosaukumu.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Tomēr šī metode attiecas tikai uz izpildlaika kodola moduļiem. Ja vēlaties iekļaut melnajā sarakstā USB atmiņas moduļus, kas veido visus sistēmā pieejamos kodolus, ievadiet katra kodola moduļa direktorijas versijas ceļu un pārdēvējiet usb-storage.ko.xz uz usb-storage.ko.xz.blacklist.